Cómo AWS Shield mitiga los eventos - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Shield mitiga los eventos

La lógica de mitigación que protege su aplicación puede variar en función de la arquitectura de su aplicación. Cuando protege una aplicación web con Amazon CloudFront y Amazon Route 53, se beneficia de las mitigaciones específicas de los casos de uso de la web y el DNS y que protegen todo el tráfico de los servicios. Cuando el punto de entrada de su aplicación es un recurso que se ejecuta en una AWS región, la lógica de mitigación varía según el servicio, el tipo de recurso y el uso que haga del mismo. AWS Shield Advanced

AWS Los ingenieros de Shield desarrollan los sistemas de mitigación de DDoS y están estrechamente integrados con AWS los servicios. Los ingenieros tienen en cuenta aspectos de su arquitectura, como la capacidad y el estado de los recursos específicos. Los ingenieros de Shield supervisan continuamente la eficacia y el rendimiento de los sistemas de mitigación de DDoS y son capaces de responder rápidamente cuando se descubren o anticipan nuevas amenazas.

Puede diseñar su aplicación para que escale en respuesta a un tráfico o una carga elevados, a fin de garantizar que no se vea afectada por oleadas de solicitudes más pequeñas. Si utiliza Shield Advanced para proteger sus recursos, recibirá cobertura contra los aumentos inesperados en su factura de la nube que puedan producirse como resultado de un ataque DDoS.

Mitigaciones de la infraestructura

En el caso de los ataques a la capa de infraestructura, los sistemas de mitigación de AWS Shield DDoS están presentes en el límite de la AWS red y en las ubicaciones AWS periféricas. La colocación de varios niveles de controles de seguridad en toda la AWS infraestructura proporciona defense-in-depth a sus aplicaciones en la nube.

Shield mantiene sistemas de mitigación de DDoS en todos los puntos de entrada desde Internet. Cuando Shield detecta un ataque DDoS, para cada punto de entrada, redirige el tráfico a través de los sistemas de mitigación de DDoS en la misma ubicación. Esto no introduce ninguna latencia adicional observable y proporciona una capacidad de mitigación de más de 100 TeraBits por segundo (Tbps) en todas AWS las regiones y ubicaciones periféricas. Shield protege la disponibilidad de sus recursos sin redirigir el tráfico a centros de depuración externos o remotos, lo que podría aumentar la latencia.

  • En el límite de la AWS red, para cualquier AWS servicio o recurso, los sistemas de mitigación de DDoS mitigan los ataques a la capa de infraestructura procedentes de Internet. Los sistemas realizan sus mitigaciones cuando así lo indica la detección de Shield o un ingeniero del equipo de respuesta de Shield (SRT).

  • En las ubicaciones AWS periféricas, los sistemas de mitigación de DDoS inspeccionan continuamente todos los paquetes que se reenvían a CloudFront las distribuciones de Amazon y a las zonas alojadas en Amazon Route 53, independientemente de su origen. Cuando es necesario, los sistemas aplican mitigaciones diseñadas específicamente para el tráfico web y de DNS. Una ventaja adicional de usar Amazon CloudFront y Amazon Route 53 para proteger sus aplicaciones web es que los ataques DDoS se mitigan inmediatamente, sin necesidad de una señal de detección de Shield.

Mitigaciones en la capa de la aplicación

Shield Advanced proporciona mitigaciones de la capa de aplicaciones web para las CloudFront distribuciones de Amazon y los balanceadores de carga de aplicaciones en las que has activado las protecciones de Shield Advanced. Cuando habilita la protección, asocia una ACL AWS WAF web al recurso para permitir la detección de la capa de aplicaciones web. Además, tiene la opción de activar la mitigación automática de la capa de aplicaciones, lo que indica a Shield Advanced que administre las protecciones por usted durante un ataque DDoS.

Shield solo proporciona mitigaciones personalizadas para los ataques de la capa de aplicación a los recursos para los que ha activado Shield Advanced y la mitigación automática de la capa de aplicación. Con la mitigación automática, Shield Advanced impone límites AWS WAF de velocidad a las solicitudes de fuentes de DDoS conocidas y agrega y administra automáticamente AWS WAF protecciones personalizadas en respuesta a los ataques DDoS detectados. Para obtener información detallada sobre las mitigaciones de este tipo, consulte Cómo administra Shield Advanced la mitigación automática.

Una regla basada en la velocidad de su ACL web, ya sea que la haya agregado usted o la haya agregado mediante la función de mitigación automática de la capa de aplicación Shield Advanced, puede mitigar un ataque antes de que alcance un nivel detectable. Para obtener más información sobre la detección, consulteLógica de detección de amenazas en la capa de aplicación.